شرکت سیسکو درباره یک آسیبپذیری بحرانی اجرای کد از راه دور (RCE) در زیرسیستم RADIUS نرمافزار Cisco Secure Firewall Management Center (FMC) هشدار داده است.
Cisco Firewall Management Center چیست؟
Cisco FMC یا Cisco Firewall Management Center یک پلتفرم مدیریتی برای محصولات Secure Firewall سیسکو است که رابط وب یا SSH متمرکزی را برای مدیران فراهم میکند تا فایروالهای سیسکو را پیکربندی، نظارت و بهروزرسانی کنند. RADIUS در FMC یک روش احراز هویت خارجی اختیاری است که امکان اتصال به سرور Remote Authentication Dial-In User Service را بهجای استفاده از حسابهای محلی فراهم میکند. این پیکربندی معمولا در شبکههای سازمانی و دولتی برای کنترل متمرکز ورود و حسابرسی دسترسی به دستگاههای شبکه استفاده میشود.
این آسیبپذیری، با کد CVE-2025-20265، حداکثر امتیاز شدت ۱۰ از ۱۰ را دریافت کرده است. مهاجم غیرمجاز میتواند با ارسال ورودیهای دستکاریشده هنگام وارد کردن اطلاعات ورود در مرحله احراز هویت RADIUS، دستورات شل دلخواه را با دسترسی سطح بالا اجرا کند. این نقص بهدلیل عدم مدیریت صحیح ورودی کاربر در فاز احراز هویت رخ میدهد و نسخههای FMC ۷.۰.۷ و ۷.۷.۰ را در صورتی که احراز هویت RADIUS برای رابط مدیریت وب، مدیریت SSH یا هر دو فعال باشد، تحت تأثیر قرار میدهد.
سیسکو بهروزرسانیهای نرمافزاری رایگان برای رفع این مشکل منتشر کرده که از طریق کانالهای معمولی برای مشتریان دارای قرارداد خدمات معتبر در دسترس است. در صورتی که نصب پچ ممکن نباشد، سیسکو توصیه میکند احراز هویت RADIUS غیرفعال شده و با روش دیگری (مانند حسابهای محلی، LDAP خارجی یا ورود یکپارچه SAML) جایگزین شود. این شرکت خاطرنشان کرد که این راهکار در تستها مؤثر بودهاست؛ اما مشتریان باید تأثیر آن را در محیط خود بررسی کنند.
این آسیبپذیری توسط محقق امنیتی سیسکو، Brandon Sakai، بهصورت داخلی کشف شده و این شرکت هیچ شواهدی از اکسپلویت در دنیای واقعی ندارد. همزمان با CVE-2025-20265، سیسکو پچهایی برای ۱۳ نقص با شدت بالا در محصولات مختلف منتشر کرد که هیچکدام بهعنوان مورد اکسپلویت فعال علامتگذاری نشدهاند:
- CVE-2025-20217: منع سرویس Snort 3 در Secure Firewall Threat Defense.
- CVE-2025-20222: منع سرویس IPv6 بر IPsec در ASA و Secure FTD (Firepower 2100).
- CVE-2025-20148: تزریق HTML در Secure Firewall Management Center.
- CVE-2025-20244: منع سرویس سرور وب VPN دسترسی از راه دور در ASA و Secure FTD.
- CVE-2025-20133، CVE-2025-20243: منع سرویس SSL VPN در ASA و Secure FTD.
- CVE-2025-20134: منع سرویس گواهی SSL/TLS در ASA و Secure FTD.
- CVE-2025-20136: منع سرویس بازرسی DNS NAT در ASA و Secure FTD.
- CVE-2025-20251: منع سرویس سرور وب VPN در ASA و Secure FTD.
- CVE-2025-20224، CVE-2025-20225: منع سرویس IKEv2 در IOS، IOS XE، ASA و Secure FTD.
- CVE-2025-20263: منع سرویس خدمات وب در ASA و Secure FTD.
- CVE-2025-20127: منع سرویس رمز TLS 1.3 در ASA و Secure FTD (Firepower 3100/4200).
سیسکو اعلام کرد که برای هیچکدام از این مسائل راهکار موقتی وجود ندارد، بهجز CVE-2025-20127 که توصیه میشود رمز TLS 1.3 حذف شود. برای سایر مسائل، نصب آخرین بهروزرسانیها توصیه شده است.
